1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu ứng dụng trí tuệ nhân tạo trong phát hiện hình thức tấn công từ chối dịch vụ (đó)

72 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên cứu ứng dụng trí tuệ nhân tạo trong phát hiện hình thức tấn công từ chối dịch vụ (ĐơS)
Tác giả Phạm Quang Thắng
Người hướng dẫn TS. Nguyễn Thế Cường
Trường học Trường Đại Học Hồng Đức
Chuyên ngành Khoa học máy tính
Thể loại Luận văn thạc sĩ
Năm xuất bản 2022
Thành phố Thanh Hóa
Định dạng
Số trang 72
Dung lượng 1,94 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

PHẠM QUANG THẮNG NGHIÊN CỨU ỨNG DỤNG TRÍ TUỆ NHÂN TẠO TRONG PHÁT HIỆN HÌNH THỨC TẤN CÔNG TỪ CHỐI DỊCH VỤ DDOS LUẬN VĂN THẠC SĨ MÁY TÍNH THANH HÓA, NĂM 2022... Bố cục của luận văn Sau

Trang 1

PHẠM QUANG THẮNG

NGHIÊN CỨU ỨNG DỤNG TRÍ TUỆ NHÂN TẠO TRONG PHÁT HIỆN HÌNH THỨC TẤN CÔNG TỪ CHỐI

DỊCH VỤ (DDOS)

LUẬN VĂN THẠC SĨ MÁY TÍNH

THANH HÓA, NĂM 2022

Trang 3

BỘ GIÁO DỤC VÀ ĐÀO TẠO UBND TỈNH THANH HÓA

LUẬN VĂN THẠC SĨ MÁY TÍNH

Chuyên ngành: Khoa học máy tính

Mã số: 8480101

Người hướng dẫn khoa học: TS Nguyễn Thế Cường

THANH HÓA, NĂM 2022

Trang 4

Danh sách Hội đồng đánh giá luận văn Thạc sỹ khoa học

(Theo Quyết định số: /QĐ- ĐHHĐ ngày tháng năm 2022

của Hiệu trưởng Trường Đại học Hồng Đức)

Học hàm, học vị

Họ và tên

Cơ quan Công tác

Chức danh trong Hội đồng

Chủ tịch HĐ

UV, Phản biện 1

UV, Phản biện 2

Uỷ viên

Uỷ viên, Thư ký

Xác nhận của Người hướng dẫn

Học viên đã chỉnh sửa theo ý kiến của Hội đồng

Ngày tháng năm 2022

Trang 5

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn “Nghiên cứu ứng dụng trí tuệ nhân tạo trong phát hiện hình thức tấn công từ chối dịch vụ (DDos)” là công trình nghiên cứu của

cá nhân tôi dưới sự hướng dẫn của TS Nguyễn Thế Cường, do tôi thực hiện, không sao chép của các tác giả khác Trong luận văn, các vấn đề nghiên cứu được trình bày đều là những nghiên cứu và tìm hiểu của chính cá nhân tôi hoặc là được trích dẫn từ các nguồn tài liệu có ghi tham khảo rõ ràng, hợp pháp

Tôi xin chịu mọi trách nhiệm và mọi hình thức kỷ luật theo quy định cho lời cam đoan này

Thanh Hoá, ngày12 tháng 9 năm 2022

Người cam đoan

Phạm Quang Thắng

Trang 6

Đặc biệt, tác giả bày tỏ lòng biết ơn sâu sắc đến thầy TS Nguyễn Thế Cường, thầy hướng dẫn trực tiếp luận văn của tác giả đã dành thời gian chỉ bảo tận tình giúp tác giả hoàn thành luận văn

Tác giả xin cảm ơn gia đình, bạn bè, đồng nghiệp, đã động viên tiếp thêm nghị lực để tác giả hoàn thành khóa học và luận văn

Mặc dù đã có nhiều cố gắng, song luận văn khó tránh khỏi những thiếu sót Tác giả rất mong sự chỉ bảo, góp ý của các nhà khoa học, các thầy cô giáo

và đồng nghiệp

Xin trân trọng cảm ơn!

Thanh Hoá, ngày 12 tháng 9 năm 2022

Tác giả luận văn

Phạm Quang Thắng

Trang 7

MỤC LỤC

LỜI CAM ĐOAN - 1 -

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC HÌNH v

MỞ ĐẦU 1

1 Lý do chọn đề tài 1

2 Mục tiêu và nhiệm vụ nghiên cứu 2

3 Đối tượng và phạm vi nghiên cứu 3

4 Phương pháp nghiên cứu 3

5 Kết quả đạt được 3

6 Ý nghĩa khoa học và thực tiễn 4

7 Bố cục của luận văn 4

Chương 1 TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ 5

1.1 Tổng quan về tấn công từ chối dịch vụ phân tán (DDOS) 5

1.1.1 Nguyên nhân DDOS có thể thực hiện được 6

1.1.2 Cách thức thực hiện tấn công DDOS 7

1.1.3 Lí do cho các cuộc tấn công DDOS 8

1.2 Phân loại các tấn công DDOS 9

1.2.1 Mức độ tự động 9

1.2.2 Các điểm yếu bị khai thác để tấn công từ chối dịch vụ 14

1.2.3 Các kiểu nạn nhân của các tấn công 16

1.3 Một số phương pháp phòng thủ DDOS 18

1.3.1 Cơ chế phòng ngừa 18

1.3.2 Cơ chế phản ứng 20

1.4 Kết luận chương 1 21

Chương 2 BÀI TOÁN DỰ ĐOÁN TẤN CÔNG DDOS TRONG MẠNG DỊCH VỤ 22

2.1 Giới thiệu chung 22

Trang 8

2.2 Các nghiên cứu liên quan 25

2.3 Xây dựng cơ sở dữ liệu 29

2.3.1 Mô tả dữ liệu 29

2.3.2 Phân tích đặc trưng trong cơ sở dữ liệu 33

2.3.3 Lựa chọn đặc trưng 38

2.4 Kết luận chương 2 43

Chương 3 GIẢI PHÁP ỨNG DỤNG TRÍ TUỆ NHÂN TẠO PHÁT HIỆN TẤN CÔNG DDOS 44

3.1 Các kỹ thuật trí tuệ nhân tạo sử dụng trong phân lớp 44

3.1.1 Cây quyết định 44

3.1.2 Mô hình Logistic Regression 48

3.1.3 Mô hình Random Forest 49

3.1.4 Mô hình Support Vector Machine 51

3.2 Đánh giá kết quả 55

3.2.1 Độ đo của mô hình học máy 55

3.2.2 Triển khai các mô hình không sử dụng giải thuật lựa chọn đặc trưng 57

3.2.3 Triển khai các mô hình có sử dụng giải thuật lựa chọn đặc trưng 58

3.3 Kết luận chương 3 59

KẾT LUẬN 60

1 Kết quả đạt được 60

2 Hạn chế 60

3 Hướng phát triển 60

TÀI LIỆU THAM KHẢO 61

Trang 9

DANH MỤC CÁC HÌNH

Hình 1: Lược đồ mạng hướng phần mềm (Nguồn: [4]) 23

Hình 2: Biểu đồ thông kê các đặc trưng có giá trị NULL 33

Hình 3: Biểu đồ phân phối của các địa chỉ gửi và số lượng yêu cầu được gửi đi 33

Hình 4: Biểu đồ về số lượng các yêu cầu có mục đích tấn công đối với các địa chỉ gửi 34

Hình 5: Biểu đồ về số lường các yêu cầu gửi từ các địa chỉ khác nhau 34

Hình 6: Biểu đồ phân bố về các yêu cầu và các giao thức được sử dụng 35

Hình 7: Biểu đồ phân bố về thời gian của các yêu cầu 35

Hình 8: Biểu đồ phân bố số lượng các yêu cầu và kích thước dữ liệu truyền đi 36

Hình 9: Biểu đồ phân bố số lượng các yêu cầu và băng thông dữ liệu 36

Hình 10: Biểu đồ phân bố số lượng các yêu cầu và bộ chuyển mạch 37

Hình 11: Biểu đồ phân bố số lượng các yêu cầu và số lượng gói tin 37

Hình 12: Biểu đồ phân bố số lượng các yêu cầu và số byte dữ liệu 38

Hình 13: Trọng số các đặc trưng được tính theo giải thuật NCA 41

Hình 14: Mức độ tương quan giữa các đặc trưng đã được lựa chọn trọng cơ sở dữ liệu 42

Hình 15: Mô hình kết hợp (nguồn: https://phamdinhkhanh.github.io/deepai-book/ch_ml/RandomForest.html) 50

Hình 16: Các bước thực hiện xây dựng mô hình rừng cây ngẫu nhiên (nguồn: https://phamdinhkhanh.github.io/deepai-book/ch_ml/RandomForest.html) 50

Hình 17: Ví dụ về bài toán nhị phân mà các lớp là phân tuyến 53

Trang 10

Tấn công DDos bắt đầu được biết đến từ năm 1998, với chương trình Trinoo Distributed Denial of service được viết bởi Phifli Từ đó cùng với sự phát triển không ngừng của Công nghệ thông tin, các kỹ thuật tấn công mới lần lượt ra đời, Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS gần đây là kiểu tấn công DDos sử dụng công cụ #RefRef của nhóm Hacker Anonymous Do vậy, tấn công DDos một kiểu tấn công không mới, nhưng vẫn luôn là nỗi lo lắng của các nhà quản trị mạng

Trong những năm qua, không chỉ Việt Nam mà cả thế giới, các cuộc tấn công DDos liên tục diễn ra Những cuộc tấn công này với nhiều mục đích khác nhau: kinh tế, cá nhân, thậm chí mang cả màu sắc chính trị (Trung Quốc – Mỹ, Trung Quốc – Việt Nam ) Do vậy, nghiên cứu DDos không bao giờ là cũ, mà luôn phải cập nhật cùng với các thiết bị, kỹ thuật công nghệ thông tin mới

AI không thể làm bất cứ điều gì mà con người không thể, vì toàn bộ tiền đề của trí tuệ nhân tạo là tạo ra một cỗ máy bắt chước hành vi của con người Nhưng

nó có thể làm mọi thứ nhanh hơn và chính xác hơn với khối lượng dữ liệu lớn mà tốn thời gian đối với con người AI có thể tự động sử dụng các công cụ nhận dạng mẫu phức tạp để xác định dấu hiệu của một chương trình độc hại Mặc dù nó không phải là toàn năng và không thể xác định tất cả các mối đe dọa, nhưng nó là một công cụ thiết yếu giúp giảm lượng thời gian mà các chuyên gia CNTT cần dành để điều tra các cảnh báo

Trang 11

Trí tuệ nhân tạo hiện được áp dụng rộng rãi trong nhiều lĩnh vực trong đó có lĩnh vực an ninh mạng Một số lợi ích của Trí tuệ nhân tạo trong an ninh mạng có thể kể đến như:

- Trí tuệ nhân tạo có thể xử lý khối lượng dữ liệu lớn: Trí tuệ nhân tạo tự động hóa quá trình phát hiện các mối đe dọa tiên tiến; có thể phân tích khối lượng rất lớn hoạt động diễn ra trên mạng của công ty với khối lượng lớn tập tin, tệp và trang web được nhân viên truy cập trong một thời gian rất ngắn Mặc dù, Trí tuệ nhân tạo không chính xác 100% trong việc phát hiện các mối đe dọa, nhưng nó có thể xác định phần lớn các hoạt động và mẫu nào là an toàn, cho phép con người tập trung vào một số lượng tương đối nhỏ phần còn lại đáng ngờ, có khả năng độc hại

- AI có thể học hỏi theo thời gian: Trí tuệ nhân tạo có thể xác định các cuộc tấn công độc hại dựa trên hành vi của các ứng dụng và hành vi của mạng nói chung Theo thời gian, các giải pháp an ninh mạng sử dụng Trí tuệ nhân tạo có thể tìm hiểu

về lưu lượng truy cập thường xuyên và các hành vi của mạng và có thể phát hiện

ra những bất thường so với chuẩn mực

- Trí tuệ nhân tạo có thể xác định các mối đe dọa chưa biết: Trí tuệ nhân tạo

có thể được sử dụng để tích lũy và tổng hợp thông tin về các mối đe dọa lan truyền hiện tại, tạo cơ sở dữ liệu thông minh, phân loại rủi ro và ứng phó với các mối đe doạ trong tương lai

Với những ưu điểm của trí tuệ nhân tạo trong an ninh mạng mở ra cơ hội ứng dụng trí tuệ nhân tạo vào việc phát hiện những rủi ro, nguy cơ ảnh hưởng đến an ninh mạng máy tính và ảnh hưởng đến nhiều lĩnh vực kinh tế xã hội khác Việc áp dụng trí tuệ nhân tạo vào phát hiện những nguy cơ, những hình thức tấn công là cần thiết Một trong những hình thức được quan tâm nhiều hiện nay là hình thức tấn công

từ chối dịch vụ phân tán (DDOS) Trong luận văn này, tác giả tập trung nghiên cứu

ứng dụng trí tuệ nhân tạo để phát hiện hình thức tấn công này trên hệ thống mạng

2 Mục tiêu và nhiệm vụ nghiên cứu

Xây dựng được mô hình phát hiện hình thức tấn công từ chối dịch vụ phân tán Để thực hiện mục đích ý tưởng của đề tài, cần nghiên cứu và tiến hành triển khai các nội dung:

Trang 12

- Nghiên cứu cơ sở lý thuyết về hình thức tấn công từ chối dịch vụ DDOS

- Nghiên cứu về một số kĩ thuật trong trí tuệ nhân tạo dùng để dự đoán, nhận diện hình thức tấn công DDOS

- Nghiên cứu cơ sở dữ liệu mẫu về hình thức tấn công DDOS đã có

- Xây dựng mô hình dùng đề phát hiện hình thức tấn công DDOS dựa vào

dữ liệu mẫu đã có

- Đánh giá hiệu quả của mô hình

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu:

Các phương pháp tấn công DDOS và các giải pháp nhận dạng tấn công DDOS

Các kỹ thuật phân tích dữ liệu, các kỹ thuật phân loại dữ liệu

Phạm vi nghiên cứu:

Dữ liệu về các tấn công dạng DDOS trong mạng các dịch vụ

4 Phương pháp nghiên cứu

Đề tài sử dụng ba phương pháp nghiên cứu chính: phương pháp nghiên cứu

lý thuyết, phương pháp chuyên gia và phương pháp nghiên cứu thực nghiệm

- Phương pháp phân tích và tổng hợp lý thuyết: Nghiên cứu các tài liệu, các báo cáo khoa học, các luận văn, luận án liên quan đến lĩnh vực khai phá dữ liệu; nghiên cứu các tài liệu mô tả về dữ liệu hiện có liên quan đến hình thức tấn công DDOS

- Phương pháp thực nghiệm: xây dựng thử nghiệm các mô hình dự đoán; đánh giá kết quả của các mô hình đã có, mô hình đề xuất; phân tích, tổng hợp kết quả

- Phương pháp chuyên gia: trao đổi với các chuyên gia, kỹ thuật viên về các lĩnh

vực an ninh mạng để có được những phản hồi về các nghiên cứu đã thực hiện

5 Kết quả đạt được

Luận văn đã đạt được những kết quả sau:

- Tổng quan cơ sở lý thuyết về an ninh mạng và hình thức tấn công DDOS

- Phân tích, đánh giá được dữ liệu về các cuộc tấn công DDOS đã có

Trang 13

- Xây dựng được mô hình dự đoán, phát hiện được các tấn công DDOS

- Đánh giá được mô hình phát hiện tấn công DDOS dựa vào thông tin liên quan

6 Ý nghĩa khoa học và thực tiễn

7 Bố cục của luận văn

Sau phần mở đầu, nội dung chính của luận văn được chia thành 3 chương như sau:

Chương 1: Trình bày tổng quan về tấn công từ chối dịch vụ phân tán, những đặc điểm của tấn công từ chối dịch vụ và các mạng thường được sử dụng để thực hiện tấn công từ chối dịch vụ

Chương 2: Trình bày bài toán dự đoán khả năng tấn công DDOS vào các mạng dựa trên dịch vụ và các nghiên cứu liên quan đến vấn đề dự đoán tấn công mạng Giới thiệu về việc xây dựng cơ sở dữ liệu dùng để huấn luyện các mô hình

dự đoán, trong đó, phân tích đánh giá các đặc trưng của cơ sở dữ liệu làm căn cứ

để lựa chọn và xây dựng mô hình dự đoán

Chương 3: Giới thiệu các kỹ thuật trí tuệ nhân tạo thường được sử dụng để xây dựng các mô hình phân lớp, dự đoán Với bài toán dự đoán khả năng tấn công DDOS dựa trên cơ sở dữ liệu về mạng SDN, luận văn sử dụng 4 giải thuật là cây quyết định, Logistic Regression, Random Forest và Support Vector Machine

Kết luận và tài liệu tham khảo

Trang 14

Chương 1.TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ

1.1 Tổng quan về tấn công từ chối dịch vụ phân tán (DDOS)

Tấn công từ chối dịch vụ DDos (Distributed Denial of Service attack - DDoS attack) là hành động làm cho máy cung cấp dịch vụ không thể phục vụ các yêu cầu sử dụng dịch vụ của người dùng hợp pháp Về cơ bản, sau cuộc tấn công, hệ thống cung cấp dịch vụ ngừng hoạt động trong một khoảng thời gian

đủ dài Các tấn công DDos có thể đến một hệ thống máy tính với các địa chỉ IP khác nhau trên mạng Internet

Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán gây ra mối đe dọa lớn đối với mạng Internet và có nhiều cơ chế phòng thủ đã được đề xuất để chống lại vấn đề này Những kẻ tấn công liên tục sửa đổi các công cụ của họ để vượt qua các hệ thống bảo mật được xây dựng, trong khi đó, các nhà nghiên cứu liên tục phải sửa đổi các phương pháp tiếp cận của họ để xử lý các cuộc tấn công mới Lĩnh vực nghiên cứu

về DDoS ngày càng trở nên phức tạp hơn và trở nên khó khăn đến mức khó có thể xác định được mức độ tấn công Điều này cản trở sự hiểu biết về hiện tượng DdoS trong hệ thống các mạng máy tính Sự đa dạng của các cuộc tấn công đã biết khiến chúng ta nghĩ rằng không gian vấn đề rất rộng lớn và khó khám phá và giải quyết Mặt khác, các hệ thống phòng thủ hiện tại đang triển khai nhiều chiến lược khác nhau

để chống lại vấn đề và thật khó để hiểu được những điểm tương đồng và khác biệt của của các hệ thống này nhằm đánh giá tính hiệu quả và chi phí của chúng cũng như so sánh các hệ thống này với nhau

Một cuộc tấn công từ chối dịch vụ được đặc trưng bởi một nỗ lực rõ ràng nhằm ngăn chặn việc sử dụng hợp pháp một dịch vụ Một cuộc tấn công từ chối dịch vụ phân tán triển khai nhiều đối tượng tấn công để đạt được mục tiêu này Trong phạm vi nghiên cứu của luận văn, tác giả quan tâm đến các cuộc tấn công DDoS trong lĩnh vực mạng dịch vụ, được gây ra bằng cách khiến nạn nhân nhận được mã độc hại và tạo ra một số thiệt hại cho nhà cung cấp dịch vụ

Trang 15

Thông thường, để thực hiện một cuộc tấn công DdoS, kẻ tấn công gửi một luồng gói tin đến nạn nhân; luồng này tiêu thụ một số tài nguyên quan trọng, do đó khiến tài nguyên không khả dụng cho các khách hàng hợp pháp của nạn nhân Một cách tiếp cận phổ biến khác là kẻ tấn công gửi một vài gói tin không đúng định dạng gây nhầm lẫn cho một ứng dụng hoặc một giao thức trên máy nạn nhân và buộc nó phải đóng băng hoặc khởi động lại Tuy nhiên, một cách có thể khác để từ chối dịch vụ là chiếm quyền sử dụng các máy trong mạng nạn nhân và tiêu thụ một số tài nguyên quan trọng để các máy khách hợp pháp từ cùng một mạng không thể nhận được một số dịch vụ bên trong hoặc bên ngoài Rõ ràng, có nhiều cách khác nhau để từ chối dịch vụ trên Internet, một số cách mà chúng ta không thể đoán trước được và những cách này sẽ chỉ được phát hiện sau khi chúng đã bị khai thác trong một cuộc tấn công lớn

1.1.1 Nguyên nhân DDOS có thể thực hiện được

Thiết kế Internet hiện tại tập trung vào tính hiệu quả trong việc di chuyển các gói tin từ nguồn đến đích Thiết kế này tuân theo mô hình end-to-end, nghĩa

là mạng trung gian cung cấp dịch vụ chuyển tiếp gói tin tối thiểu, tốt nhất, để người gửi và người nhận triển khai các giao thức tiên tiến để đạt được các đảm bảo dịch vụ mong muốn như: chất lượng dịch vụ, độ tin cậy, khả năng vận chuyển hoặc an ninh Mô hình end-to-end đẩy độ phức tạp lên các máy đầu cuối, để mạng trung gian trở nên đơn giản và được tối ưu hóa cho việc chuyển tiếp các gói tin Nếu một bên trong giao tiếp hai chiều (người gửi hoặc người nhận) hoạt động không đúng theo thiết kế thì có thể gây thiệt hại tùy ý cho đồng nghiệp của mình Mạng trung gian sẽ không ngăn chặn điều này, bởi vì Internet không được thiết kế để giám sát quá trình truyền thông Một hệ quả của chính sách này là sự hiện diện của IP giả mạo

An ninh Internet là dạng an ninh có sự phụ thuộc lẫn nhau Các cuộc tấn công DDoS thường được phát động từ các hệ thống bị chiếm quyền thông qua các thỏa hiệp liên quan đến bảo mật Bất kể hệ thống nạn nhân có được bảo mật

Trang 16

tốt như thế nào, khả năng bị tấn công DDoS của hệ thống đó phụ thuộc vào tình trạng bảo mật trong phần còn lại của Internet toàn cầu

Nguồn tài nguyên Internet là hữu hạn Mỗi thực thể trên mạng Internet (máy chủ lưu trữ, mạng, dịch vụ) với tài nguyên hạn chế có thể bị tiêu thụ bởi quá nhiều người dùng Trí thông minh và tài nguyên không được kết hợp với nhau Mô hình giao tiếp end-to-end dẫn đến việc lưu trữ hầu hết thông tin cần thiết cho việc đảm bảo dịch vụ với các máy chủ cuối, hạn chế số lượng các xử

lý được thực hiện trong mạng trung gian để các gói có thể được chuyển tiếp nhanh chóng và với chi phí tối thiểu Đồng thời, với mong muốn thông lượng lớn đã dẫn đến việc thiết kế các đường dẫn băng thông cao trong mạng trung gian, trong khi các mạng cuối chỉ đầu tư vào lượng băng thông nhiều nhất mà

họ nghĩ rằng họ có thể cần Do đó, các máy khách độc hại có thể sử dụng sai nguồn tài nguyên dồi dào của mạng trung gian không chủ ý để gửi nhiều thông điệp cho một nạn nhân ít được quan tâm hơn

Trách nhiệm giải trình không được thực hiện trong mạng Việc có thể giả mạo địa chỉ IP cho phép những kẻ tấn công một cơ chế mạnh mẽ để thoát khỏi trách nhiệm về hành động của họ và đôi khi thậm chí là phương tiện để thực hiện các cuộc tấn công (các cuộc tấn công phản xạ [1], chẳng hạn như cuộc tấn công Smurf1)

Kiểm soát bị phân tán Việc quản lý Internet bị phân tán và mỗi mạng được quản lý theo các chính sách cục bộ do chủ sở hữu điều chỉnh Hệ quả của việc này là rất nhiều Không có cách nào để thực thi việc triển khai toàn cầu của một cơ chế bảo mật hoặc chính sách bảo mật cụ thể và do những lo ngại về quyền riêng tư, thường không thể điều tra hành vi truy cập xuyên mạng

1.1.2 Cách thức thực hiện tấn công DDOS

Một cuộc tấn công DDoS được thực hiện theo nhiều giai đoạn Kẻ tấn công đầu tiên tuyển dụng nhiều máy đặc vụ (agent) Quá trình này thường được

Trang 17

thực hiện tự động thông qua việc quét các máy từ xa, tìm kiếm các lỗ hổng bảo mật có thể cho phép chiếm quyền Lỗ hổng của các máy được phát hiện sau đó được khai thác để đột nhập vào các máy được thâu tóm và lây nhiễm mã tấn công cho chúng Giai đoạn khai thác/lây nhiễm thường được tự động hóa và các máy bị lây nhiễm có thể được sử dụng để tuyển thêm các đồng sự mới

Một chiến lược chiêu mộ/khai thác/lây nhiễm khác bao gồm phân phối phần mềm tấn công dưới sự ngụy trang của một ứng dụng hữu ích (các bản sao phần mềm này được gọi là Trojan) Việc phân phối này có thể được thực hiện bằng nhiều cách, ví dụ, bằng cách gửi các tin nhắn E-mail có tệp đính kèm bị nhiễm Các máy tác nhân bị chiếm quyền được sử dụng để gửi các gói tin tấn công Những kẻ tấn công thường che giấu danh tính của các máy bị chiếm quyền trong cuộc tấn công thông qua việc giả mạo địa chỉ nguồn trong các gói tấn công Tuy nhiên, giả mạo địa chỉ không phải lúc nào cũng là yêu cầu cần thiết cho một cuộc tấn công DDOS thành công Giả mạo địa chỉ IP chỉ làm cản trở việc tìm kiếm, truy vết các máy tham gia và cuộc tấn công DDOS

1.1.3 Lí do cho các cuộc tấn công DDOS

Mục tiêu của tấn công chính là gây thiệt hại cho nạn nhân Thông thường động cơ thầm kín là lý do cá nhân (một số lượng đáng kể các cuộc tấn công DDoS được thực hiện nhằm vào các máy tính gia đình, có lẽ là vì mục đích trả thù) hoặc uy tín (các cuộc tấn công thành công vào các máy chủ Web phổ biến được cộng đồng hacker tôn trọng) Tuy nhiên, một số cuộc tấn công DDoS được thực hiện vì lợi ích vật chất (gây tổn hại đến tài nguyên của đối thủ cạnh tranh hoặc tống tiền các công ty) hoặc vì lý do chính trị (một quốc gia đang có chiến tranh có thể tiến hành các cuộc tấn công nhằm vào các nguồn tài nguyên quan trọng của đối phương, có khả năng tận dụng một phần đáng kể sức mạnh tính toán của toàn bộ quốc gia cho việc này hoạt động) Trong một số trường hợp, nạn nhân thực sự của cuộc tấn công có thể không phải là mục tiêu thực sự của các tấn công, tuy nhiên một số tấn công thì dựa vào hoạt động chính xác của mục tiêu

Trang 18

1.2 Phân loại các tấn công DDOS

Để đưa ra phân loại các cuộc tấn công DDoS, ta quan sát các phương tiện được sử dụng để chuẩn bị và thực hiện cuộc tấn công (các giai đoạn tuyển dụng, khai thác và lây nhiễm), các đặc điểm của bản thân cuộc tấn công (giai đoạn sử dụng) và hậu quả của cuộc tấn công đó đối với nạn nhân

1.2.1 Mức độ tự động

Các giai đoạn tuyển dụng, khai thác, lây nhiễm và sử dụng có thể được thực hiện thủ công hoặc tự động Tùy thuộc vào mức độ tự động, chúng ta có các kiểu tấn công DDOS: thủ công, bán tự động và tự động

1.2.1.1 Thủ công:

Kẻ tấn công quét thủ công các máy từ xa để tìm lỗ hổng, đột nhập vào các máy, cài đặt mã tấn công và sau đó ra lệnh bắt đầu cuộc tấn công Chỉ có các cuộc tấn công DDoS ban đầu thuộc là được thực hiện thủ công Tất cả các hoạt động tuyển dụng đã sớm được tự động hóa

1.2.1.2 Bán tự động:

Trong các cuộc tấn công bán tự động, mạng DDoS bao gồm các máy xử

lý (master) và agent (slave, daemon, zombie) Các giai đoạn tuyển dụng, khai thác và lây nhiễm được tự động hóa Trong giai đoạn sử dụng, kẻ tấn công chỉ định kiểu tấn công, thời điểm khởi phát, thời gian và nạn nhân thông qua trình

xử lý cho các tác nhân, sau đó các tác nhân này gửi các gói tin đến nạn nhân

a Cơ chế truyền thông

Dựa trên cơ chế giao tiếp được triển khai giữa các máy tác nhân và máy

xử lý, chúng tôi chia các cuộc tấn công bán tự động thành các cuộc tấn công với giao tiếp trực tiếp và tấn công với giao tiếp gián tiếp

 Truyền thông trực tiếp: Trong các cuộc tấn công bằng giao tiếp trực tiếp, máy xử lý và tác nhân cần biết danh tính của nhau để giao tiếp Điều này thường đạt được bằng cách mã hóa cứng địa chỉ IP của các máy xử lý trong mã tấn công sau này được cài đặt tại máy tác nhân Sau đó, mỗi tác nhân sẽ báo cáo sự sẵn sàng cho những người xử lý, những người lưu trữ địa chỉ IP của các tác

Trang 19

nhân để liên lạc sau này Hạn chế rõ ràng của phương pháp này đối với kẻ tấn công là việc phát hiện ra một máy bị xâm nhập có thể làm lộ toàn bộ mạng DDoS Ngoài ra, vì các tác nhân và bộ xử lý lắng nghe các kết nối mạng, chúng

có thể được xác định bởi máy quét mạng

 Truyền thông gián tiếp: Các cuộc tấn công bằng giao tiếp gián tiếp sử dụng một số dịch vụ truyền thông hợp pháp để đồng bộ hóa các hành động của tác nhân Các cuộc tấn công gần đây đã sử dụng các kênh IRC (chương trình trò chuyện trên Internet) Việc sử dụng các dịch vụ IRC cho phép thay thế chức năng của một trình xử lý, vì kênh IRC chứa đựng sự ẩn danh phù hợp với kẻ tấn công Các tác nhân không tích cực lắng nghe các kết nối mạng (có nghĩa là chúng không thể bị máy quét phát hiện), mà thay vào đó sử dụng dịch vụ IRC hợp pháp và các gói điều khiển mà không thể dễ dàng bị phân biệt khỏi cuộc trò chuyện hợp pháp Việc phát hiện ra một tác nhân duy nhất có thể dẫn đến việc xác định một hoặc nhiều máy chủ IRC và tên kênh được sử dụng bởi mạng DDoS Từ đó, việc xác định mạng DDoS phụ thuộc vào khả năng theo dõi các tác nhân hiện được kết nối với máy chủ IRC (có thể là tập hợp con của tất cả các máy bị chiếm dụng) Để tránh bị phát hiện, những kẻ tấn công thường xuyên triển khai tính năng hoán đổi kênh, sử dụng bất kỳ kênh IRC nhất định nào trong khoảng thời gian ngắn Vì dịch vụ IRC được duy trì theo cách phân tán

và máy chủ IRC lưu trữ một kênh IRC cụ thể có thể được đặt ở bất kỳ đâu trên thế giới, điều này cản trở việc điều tra Mặc dù dịch vụ IRC là ví dụ duy nhất được biết đến về giao tiếp gián tiếp cho đến nay, nhưng không có gì để ngăn những kẻ tấn công chiếm dụng các dịch vụ hợp pháp khác cho các mục đích tương tự

1.2.1.3 Tự động

Các cuộc tấn công DDoS tự động tự động hóa giai đoạn sử dụng ngoài các giai đoạn tuyển dụng, khai thác và lây nhiễm, do đó tránh được mọi sự giao tiếp giữa kẻ tấn công và máy đặc vụ Thời gian bắt đầu của cuộc tấn công, kiểu tấn công, thời lượng

và nạn nhân được lập trình trước trong mã tấn công Cơ chế triển khai của lớp tấn công

Trang 20

này ít tiếp xúc với kẻ tấn công hơn, vì máy tấn công chỉ tham gia vào việc đưa ra một lệnh duy nhất khi bắt đầu quá trình tuyển dụng Thông số kỹ thuật tấn công mã hóa cứng gợi ý một mục đích sử dụng mạng DdoS, hoặc bản chất không linh hoạt của hệ thống Tuy nhiên, các cơ chế lan truyền thường để lại một cửa hậu mở cho máy bị xâm nhập, cho phép dễ dàng truy cập và sửa đổi mã tấn công trong tương lai Hơn nữa, nếu các agent giao tiếp thông qua các kênh IRC, các kênh này có thể được sử dụng để sửa đổi mã hiện có

1.2.1.4 Các chiến lược quét lỗ hổng và quét máy trạm

Cả hai cuộc tấn công bán tự động và tự động đều tuyển dụng các máy tác nhân bằng cách triển khai các kỹ thuật quét và lan truyền tự động, thường thông qua việc sử dụng sâu hoặc Trojan Khoảng 3 triệu lượt quét mỗi ngày được báo cáo tổng hợp và phân tích nhật ký tường lửa từ hơn 1600 mạng Từ 20% đến 60% các lần quét này là quét lỗ hổng của máy chủ Web và có liên quan đến các

nỗ lực lây lan mã độc Mục tiêu của chiến lược quét máy chủ là chọn địa chỉ của các máy có khả năng bị tấn công để quét Sau đó, quá trình quét lỗ hổng sẽ

đi qua danh sách các địa chỉ và thăm dò lỗ hổng đã chọn

Dựa trên chiến lược quét máy chủ, ta có các cuộc tấn công triển khai: quét ngẫu nhiên, quét danh sách truy cập, quét biển chỉ dẫn, quét hoán vị và quét mạng con cục bộ Dựa trên chiến lược quét lỗ hổng, chúng tôi phân biệt giữa các cuộc tấn công triển khai: quét ngang, quét dọc, quét phối hợp và quét lén lút Thông thường, những kẻ tấn công thường kết hợp các giai đoạn quét và khai thác

a Quét ngẫu nhiên

Trong quá trình quét ngẫu nhiên, mỗi máy chủ bị xâm phạm sẽ thăm dò các địa chỉ ngẫu nhiên trong không gian địa chỉ IP, sử dụng một hạt giống (seed) khác nhau Quét ngẫu nhiên có khả năng tạo ra một lượng truy cập cao Vì nhiều địa chỉ được quét có thể nằm trong các mạng khác nhau, nên có một lượng lớn lưu lượng truy cập internet Ngoài ra, khi sự lây nhiễm đạt đến điểm bão hòa (tỷ lệ phần trăm cao các máy dễ bị lây nhiễm), tỉ lệ các đầu dò trùng

Trang 21

lặp đến cùng một địa chỉ sẽ lên cao, vì không có sự đồng bộ hóa các nỗ lực quét

từ các máy chủ bị nhiễm khác nhau Lưu lượng truy cập cao có thể dẫn đến phát hiện tấn công

b Quét theo danh sách truy cập

Máy thực hiện quét danh sách truy cập sẽ thăm dò tất cả các địa chỉ từ danh sách được cung cấp bên ngoài Khi phát hiện một máy dễ bị tấn công, nó

sẽ gửi một phần của danh sách truy cập ban đầu cho người nhận và giữ phần còn lại Quét danh sách truy cập cho phép tốc độ lan truyền lớn và không có va chạm trong giai đoạn quét Nếu kẻ tấn công lập danh sách tất cả các máy Internet dễ bị tấn công thì có thể lây nhiễm cho toàn bộ các máy tính khác trong vòng 30 giây Điều bất lợi cho kẻ tấn công là danh sách tấn công cần được tập hợp trước Thông tin được thu thập thông qua một số phương tiện kín đáo như

sử dụng thông tin công khai trên các máy chạy phần mềm dễ bị tấn công (ví dụ: tìm thấy tại netscan.org) hoặc sử dụng tính năng quét chậm trong vài tháng hoặc vài năm Một bất lợi khác là một phần của danh sách truy cập cần phải được truyền đến các máy đang bị nhiễm Nếu danh sách quá lớn, lưu lượng truy cập này có thể có khối lượng lớn và dẫn đến phát hiện tấn công; nếu nó quá nhỏ,

nó sẽ tạo ra một quần thể tác nhân nhỏ trong hệ thống

c Quét theo mẫu

Quét theo mẫu (còn được gọi là quét cấu trúc liên kết) tận dụng các mẫu giao tiếp thông thường của máy chủ bị xâm nhập để chọn mục tiêu mới Sâu e-mail sử dụng tính năng quét theo mẫu, khai thác thông tin từ sổ địa chỉ của các máy bị xâm nhập để lây lan Một loại sâu dựa trên máy chủ Web có thể lây lan bằng cách lây nhiễm cho từng trình duyệt Web dễ bị tấn công của các máy khách nhấp vào trang Web của máy chủ và sau đó lây nhiễm thêm vào các máy chủ của các trang Web tiếp theo mà các máy khách này truy cập Quét theo mẫu không tạo ra lưu lượng truy cập cao và do đó làm giảm cơ hội bị phát hiện tấn công Hạn chế là tốc độ lây lan phụ thuộc vào máy tác nhân và hành vi người

Trang 22

dùng của chúng, tức là kẻ tấn công không thể kiểm soát được Do đó, việc tuyển dụng có thể chậm hơn và kém hoàn thiện hơn so với các kỹ thuật quét khác

d Quét hoán vị

Trong quá trình quét hoán vị, tất cả các máy bị xâm nhập chia sẻ một hoán vị giả ngẫu nhiên chung của không gian địa chỉ IP; mỗi địa chỉ IP được ánh xạ tới một chỉ mục trong hoán vị này Quét hoán vị được thực hiện trước quá trình quét danh sách truy cập nhỏ trong đó tập hợp các tác nhân ban đầu được hình thành Một máy bị nhiễm trong giai đoạn đầu này bắt đầu quét qua hoán vị bằng cách sử dụng chỉ mục được tính từ địa chỉ IP của nó làm điểm bắt đầu Một máy bị nhiễm bởi quá trình quét hoán vị luôn bắt đầu từ một điểm ngẫu nhiên trong hoán vị Bất cứ khi nào một máy chủ quét thấy một máy đã

bị nhiễm, nó sẽ chọn một điểm bắt đầu ngẫu nhiên mới Sau khi gặp phải một

số ngưỡng máy bị nhiễm, một bản sao sâu sẽ không hoạt động để giảm thiểu

va chạm Tính năng quét hoán vị có đặc điểm là cung cấp quá trình quét bán phối hợp, toàn diện và giảm thiểu sự trùng lặp của nỗ lực Một số phân tích được cung cấp cho thấy rằng tốc độ lây lan có thể theo thứ tự 15 phút nếu sử dụng danh sách truy cập 10.000 mục nhập và một mã độc tạo ra 100 lần quét mỗi giây Khi quá trình lây nhiễm tiến triển, một tỷ lệ lớn các máy bị nhiễm sẽ không hoạt động Điều này dẫn đến số lần quét trùng lặp rất thấp và cản trở sự phát hiện

e Quét mạng con cục bộ

Kỹ thuật quét mạng con cục bộ có thể được thêm vào bất cứ kỹ thuật nào

đã mô tả ở bên trên với việc chủ đích là quét số lượng máy trong một mạng con Với kỹ thuật này, một bản sao chép của chương trình quét có thể tấn công lên bất cứ máy tính nào phía sau một tường lửa

f Quét theo chiều ngang

Đây là kiểu quét mã độc phổ biến Máy quét tìm kiếm một lỗ hổng cụ thể, quét cùng một cổng đích trên tất cả các máy trong danh sách, được tập hợp thông qua kỹ thuật quét máy chủ

Trang 23

g Quét theo chiều dọc

Đây là kiểu quét phổ biến cho các mã độc xâm nhập và mã độc nhiều chiều Máy quét thăm dò nhiều cổng tại một điểm đến duy nhất, tìm bất kỳ cách nào để đột nhập

h Quét phối hợp

Đây là kiểu quét phổ biến dành cho các mã độc xâm nhập và mã độc thiên

về quét mạng con cục bộ Máy quét thăm dò (các) cổng đích giống nhau tại nhiều máy trong cùng một mạng con cục bộ (thường là mạng con /24) Điều này mang lại một mục tiêu hiệu quả là tìm kiếm một lỗ hổng cụ thể trong một mạng nhất định

i Quét lén lút

Là dạng quét được thực hiện chậm, trong khoảng thời gian dài để tránh

sự phát hiện của những hệ thống phát hiện xâm nhập

1.2.2 Các điểm yếu bị khai thác để tấn công từ chối dịch vụ

DDOS tấn công khai thác nhiều điểm yếu khác nhau để từ chối dịch vụ của nạn nhân đối với khách hàng Ta gọi đó là tấn công theo ngữ nghĩa (sematic)

và tấn công tổng lực (brute-force)

1.2.2.1 Tấn công theo ngữ nghĩa

Các cuộc tấn công ngữ nghĩa khai thác một tính năng cụ thể hoặc lỗi triển khai của một số giao thức hoặc ứng dụng được cài đặt tại nạn nhân để tiêu thụ lượng tài nguyên dư thừa của nó Ví dụ, trong cuộc tấn công TCP SYN, tính năng bị khai thác là phân bổ không gian đáng kể trong hàng đợi kết nối ngay sau khi nhận được yêu cầu TCP SYN Kẻ tấn công khởi tạo nhiều kết nối không bao giờ được hoàn thành, do đó làm lộn xộn hàng đợi kết nối Trong cuộc tấn công yêu cầu CGI, kẻ tấn công tiêu tốn thời gian CPU của nạn nhân bằng cách đưa ra nhiều yêu cầu CGI Cuộc tấn công NAPTHA [2] là một cuộc tấn công đặc biệt mạnh mẽ vào giao thức TCP Nó khởi tạo và thiết lập nhiều kết nối TCP tiêu thụ hàng đợi kết nối tại nạn nhân NAPTHA bỏ qua ngăn xếp giao thức TCP trên máy tác nhân, không giữ trạng thái cho các kết nối mà nó bắt nguồn Thay vào đó, nó tham gia vào kết nối, suy ra các thuộc tính trả lời từ

Trang 24

các gói đã nhận Vì vậy, ngay cả một máy đại lý được cung cấp kém cũng có thể dễ dàng làm cạn kiệt tài nguyên của nạn nhân được cung cấp tốt hơn

1.2.2.2 Tấn công brute-force

Các cuộc tấn công bạo lực được thực hiện bằng cách bắt đầu một lượng lớn các giao dịch có vẻ hợp pháp Vì mạng trung gian thường có thể phân phối khối lượng băng thông cao hơn mức mà mạng nạn nhân có thể xử lý, một số lượng lớn các gói tấn công làm cạn kiệt tài nguyên của nạn nhân

Có một ranh giới mỏng giữa các cuộc tấn công ngữ nghĩa và bạo lực Các cuộc tấn công theo ngữ nghĩa cũng áp đảo tài nguyên của nạn nhân với lượng băng thông vượt quá quy định và các tính năng giao thức được thiết kế sai tại các máy chủ từ xa thường được sử dụng để thực hiện các cuộc tấn công phản xạ, chẳng hạn như cuộc tấn công yêu cầu DNS hoặc cuộc tấn công Smurf Điểm khác biệt là nạn nhân thường có thể giảm thiểu đáng kể nguy cơ tấn công ngữ nghĩa bằng cách sửa đổi các giao thức bị lạm dụng hoặc triển khai các bộ lọc Tuy nhiên, nạn nhân bất lực trước các cuộc tấn công brute-force do chúng sử dụng sai các dịch vụ hợp pháp (các nỗ lực giả mạo cũng gây hại đến băng thông hợp pháp) hoặc do tài nguyên hạn chế của chính nó (nạn nhân không thể xử lý một cuộc tấn công phá hoại băng thông mạng của nó) Chống lại các cuộc tấn công ngữ nghĩa bằng cách sửa đổi giao thức hoặc ứng dụng đã triển khai đẩy cơ chế tấn công tương ứng vào loại brute-force Ví dụ: nếu nạn nhân triển khai các cookie TCP SYN để chống lại các cuộc tấn công TCP SYN, nó sẽ vẫn dễ bị tấn công TCP SYN tạo ra nhiều yêu cầu hơn mức mà mạng của nó có thể đáp ứng Phân loại cuộc tấn công cụ thể cần phải tính đến cả cơ chế tấn công được sử dụng

và các giao thức đã triển khai và xác minh của nạn nhân Cần lưu ý rằng các cuộc tấn công brute-force cần tạo ra một khối lượng gói tin tấn công lớn hơn nhiều so với các cuộc tấn công ngữ nghĩa để gây ra thiệt hại cho nạn nhân Vì vậy, bằng cách sửa đổi các giao thức đã triển khai, nạn nhân sẽ đẩy giới hạn lỗ hổng lên cao hơn Cũng cần lưu ý rằng sự thay đổi của các tính năng gói tấn công (tiêu đề

và tải trọng) được xác định bởi điểm yếu bị khai thác Các gói bao gồm ngữ nghĩa

Trang 25

và một số cuộc tấn công brute-force phải chỉ định một số trường tiêu đề hợp lệ

và có thể một số nội dung hợp lệ Ví dụ: các gói tấn công TCP SYN không thể thay đổi giao thức hoặc trường flag và các gói tin tràn ngập HTTP phải thuộc kết nối TCP đã thiết lập và do đó không thể giả mạo địa chỉ nguồn Mặt khác, các cuộc tấn công nhằm mục đích đơn giản là tiêu thụ tài nguyên mạng của nạn nhân

có thể thay đổi các tính năng gói theo ý muốn, điều này gây trở ngại lớn cho việc phòng thủ

1.2.3 Các kiểu nạn nhân của các tấn công

Có nhiều kiểu nạn nhân của các tấn công như: Ứng dụng, máy trạm, tài nguyên, mạng và hạ tầng mạng

1.2.3.1 Ứng dụng

Các cuộc tấn công ứng dụng nhắm vào một ứng dụng nhất định trên máy chủ nạn nhân, do đó vô hiệu hóa việc sử dụng ứng dụng đó của máy khách hợp pháp và có thể thâu tóm tài nguyên của máy chủ Nếu tài nguyên dùng chung của máy chủ không được sử dụng hết, người dùng vẫn có thể truy cập các ứng dụng và dịch vụ khác Ví dụ: một cuộc tấn công chữ ký không có thật trên máy chủ xác thực liên kết tài nguyên của ứng dụng xác thực chữ ký, nhưng máy mục tiêu sẽ vẫn trả lời các yêu cầu ICMP ECHO và các ứng dụng khác không yêu cầu quyền truy cập được xác thực vẫn hoạt động Việc phát hiện các cuộc tấn công ứng dụng là một thách thức vì các ứng dụng khác trên máy chủ bị tấn công vẫn tiếp tục hoạt động của chúng mà không bị xáo trộn và khối lượng cuộc tấn công thường đủ nhỏ để không xuất hiện bất thường Các gói tấn công hầu như không thể phân biệt được với các gói hợp pháp ở cấp độ truyền tải (và thường xuyên ở cấp độ ứng dụng) và ngữ nghĩa của ứng dụng được nhắm mục tiêu phải được sử dụng nhiều để phát hiện Vì thường có nhiều ứng dụng trên một máy chủ, nên mỗi ứng dụng sẽ phải được mô hình hóa trong hệ thống phòng thủ và sau đó hoạt động của nó được giám sát để tính đến các cuộc tấn công có thể xảy ra Sau khi phát hiện được thực hiện, máy chủ có tài nguyên phù hợp để

Trang 26

bảo vệ chống lại các cuộc tấn công khối lượng nhỏ này, miễn là nó có thể tách các gói hợp pháp khỏi các gói là một phần của cuộc tấn công

1.2.3.2 Tấn công máy trạm

Các cuộc tấn công máy chủ vô hiệu hóa hoàn toàn quyền truy cập vào máy mục tiêu bằng cách làm quá tải hoặc vô hiệu hóa cơ chế giao tiếp của nó hoặc làm cho máy chủ gặp sự cố, đóng băng hoặc khởi động lại Một ví dụ về cuộc tấn công này là cuộc tấn công TCP SYN Tất cả các gói tấn công đều mang địa chỉ đích của máy chủ đích Nếu các giao thức chạy trên máy chủ được

vá đúng cách, các cuộc tấn công máy chủ có khả năng được thực hiện chống lại nó sẽ giảm thành các cuộc tấn công tiêu thụ tài nguyên mạng Khối lượng gói cao của các cuộc tấn công như vậy tạo điều kiện thuận lợi cho việc phát hiện, nhưng máy chủ không thể bảo vệ chống lại các cuộc tấn công này một mình Dạng tấn công này thường phải yêu cầu trợ giúp từ một số máy ngược dòng (ví dụ: tường lửa ngược dòng)

1.2.3.3 Tấn công tài nguyên

Các cuộc tấn công tài nguyên nhắm vào một tài nguyên quan trọng trong mạng của nạn nhân, chẳng hạn như máy chủ DNS cụ thể, bộ định tuyến hoặc liên kết tắc nghẽn Đường dẫn của các gói tấn công hợp nhất trước hoặc tại tài nguyên đích và có thể phân kỳ sau đó Những cuộc tấn công này thường có thể được ngăn chặn bằng cách tái tạo các dịch vụ quan trọng và thiết kế một cấu trúc liên kết mạng mạnh mẽ

1.2.3.4 Tấn công mạng

Các cuộc tấn công mạng tiêu thụ băng thông đến của mạng mục tiêu với các gói tấn công có địa chỉ đích có thể được chọn từ không gian địa chỉ của mạng mục tiêu Các cuộc tấn công này có thể triển khai các gói khác nhau (vì

đó là khối lượng chứ không phải nội dung quan trọng) và dễ dàng bị phát hiện

do khối lượng lớn của chúng Mạng nạn nhân phải yêu cầu trợ giúp từ các mạng thượng nguồn để phòng thủ vì nó không thể tự xử lý khối lượng tấn công

Trang 27

1.2.3.5 Cơ sở hạ tầng

Các cuộc tấn công cơ sở hạ tầng nhắm vào một số dịch vụ phân tán có vai trò quan trọng đối với hoạt động Internet toàn cầu Ví dụ bao gồm các cuộc tấn công vào máy chủ tên miền, bộ định tuyến lõi lớn, giao thức định tuyến, máy chủ chứng nhận, v.v Đặc điểm chính của các cuộc tấn công này không phải là cơ chế mà chúng triển khai để vô hiệu hóa mục tiêu (ví dụ: theo quan điểm của một bộ định tuyến lõi bị tấn công đơn lẻ, cuộc tấn công vẫn có thể được coi là một cuộc tấn công máy chủ), nhưng sự đồng thời của cuộc tấn công trên nhiều trường hợp của một dịch vụ quan trọng trong cơ sở hạ tầng Internet Các cuộc tấn công cơ sở hạ tầng chỉ có thể được chống lại thông qua hành động phối hợp của nhiều người tham gia Internet

Theo mục tiêu phòng ngừa, chúng ta chia nhỏ hơn các cơ chế phòng ngừa thành các cơ chế ngăn chặn tấn công và ngăn chặn từ chối dịch vụ

a Ngăn chặn tấn công

Các cơ chế ngăn chặn tấn công sửa đổi các hệ thống và giao thức trên Internet để loại bỏ khả năng lật đổ hoặc thực hiện một cuộc tấn công DDoS Lịch sử bảo mật máy tính cho thấy rằng một cách tiếp cận phòng ngừa không bao giờ có thể hiệu quả 100%, vì không thể đảm bảo việc triển khai toàn cầu Tuy nhiên, làm tốt công việc ở đây chắc chắn sẽ làm giảm tần suất và độ mạnh của các cuộc tấn công DDoS Việc triển khai các cơ chế ngăn chặn toàn diện

có thể làm cho máy chủ có khả năng chống lại các cuộc tấn công giao thức đã biết Ngoài ra, những cách tiếp cận này vốn tương thích và bổ sung cho tất cả các cách tiếp cận phòng thủ khác

Trang 28

Các cơ chế bảo mật hệ thống tăng cường bảo mật Internet tổng thể, bảo

vệ chống lại các truy cập bất hợp pháp vào máy, loại bỏ các lỗi ứng dụng và cập nhật các cài đặt giao thức để ngăn chặn sự xâm nhập và sử dụng sai mục đích Các cuộc tấn công DDoS thành công do số lượng lớn các máy bị chiếm dụng tạo ra các luồng tấn công Nếu những cỗ máy này được bảo mật, những

kẻ tấn công sẽ mất quân đội của chúng và mối đe dọa DDoS sẽ giảm bớt Việc phòng ngừa cũng mang lại lợi ích cho các máy triển khai, bảo vệ chúng khỏi

sự xâm nhập và thiệt hại tiềm tàng Ví dụ về cơ chế bảo mật hệ thống bao gồm quyền truy cập được giám sát vào máy, các ứng dụng tải xuống và cài đặt các bản vá bảo mật, hệ thống tường lửa, hệ thống phát hiện xâm nhập và hệ thống phòng thủ mã độc

Cơ chế bảo mật giao thức giải quyết vấn đề thiết kế giao thức sai Ví dụ, nhiều giao thức chứa các hoạt động rẻ cho máy khách nhưng đắt cho máy chủ Các giao thức như vậy có thể bị lạm dụng để làm cạn kiệt tài nguyên của máy chủ bằng cách bắt đầu một số lượng lớn các giao dịch đồng thời Các ví dụ lạm dụng cổ điển là cuộc tấn công TCP SYN, cuộc tấn công máy chủ xác thực và cuộc tấn công gói phân mảnh (trong đó kẻ tấn công tấn công nạn nhân bằng các đoạn gói không đúng định dạng, buộc nó phải lãng phí tài nguyên của mình khi

cố gắng lắp ráp lại), v.v Địa chỉ nguồn IP giả mạo là một ví dụ khác: thiết kế các giao thức định tuyến hiện tại của các bộ phận không có khả năng thực thi các địa chỉ nguồn hợp lệ Ví dụ về cơ chế bảo mật giao thức bao gồm các hướng dẫn về thiết kế giao thức an toàn, trong đó các tài nguyên chỉ được cam kết với khách hàng sau khi xác thực hoàn toàn được thực hiện hoặc khách hàng đã trả một mức giá phù hợp, việc triển khai một máy chủ proxy mạnh mẽ hoàn thành các kết nối TCP, TCP SYN cookie, quét giao thức để loại bỏ sự không rõ ràng khỏi các giao thức có thể bị sử dụng sai cho các cuộc tấn công, các phương pháp loại bỏ giả mạo

b Ngăn chặn từ chối dịch vụ

Cơ chế ngăn chặn từ chối dịch vụ cho phép nạn nhân chịu đựng các cuộc tấn công mà không từ chối dịch vụ cho các khách hàng hợp pháp Điều này

Trang 29

được thực hiện bằng cách thực thi các chính sách tiêu thụ tài nguyên hoặc bằng cách đảm bảo rằng các nguồn tài nguyên dồi dào tồn tại để các khách hàng hợp pháp không bị ảnh hưởng bởi cuộc tấn công

Dựa trên phương pháp phòng ngừa, chúng ta chia các cơ chế phòng chống DoS thành các cơ chế hạch toán tài nguyên và cơ chế gia tăng tài nguyên

Cơ chế hoạch toán tài nguyên giám sát quyền truy cập của mỗi người dùng vào tài nguyên dựa trên các đặc quyền của người dùng và hành vi của họ Người dùng trong trường hợp này có thể là một quy trình, một người, một địa chỉ IP hoặc một tập hợp các địa chỉ IP có điểm chung Cơ chế hoạch toán tài nguyên đảm bảo cung cấp dịch vụ công bằng cho những người dùng hợp pháp

có hành vi tốt Để tránh bị đánh cắp danh tính người dùng, chúng thường được kết hợp với các cơ chế truy cập dựa trên tính hợp pháp để xác minh danh tính của người dùng Cuối cùng, các hệ thống kiểm tra tính hợp pháp của khách hàng và chỉ cho phép truy cập vào hệ thống đối với các khách hàng hợp pháp thuộc loại này

Cơ chế nhân rộng tài nguyên cung cấp nguồn tài nguyên dồi dào để chống lại các mối đe dọa DDoS Ví dụ đơn giản là một hệ thống triển khai một nhóm các máy chủ với bộ cân bằng tải và cài đặt các liên kết băng thông cao giữa chính nó và các bộ định tuyến ngược dòng Cách tiếp cận này về cơ bản nâng cao tiêu chuẩn về

số lượng máy phải tham gia vào một cuộc tấn công để đạt được hiệu quả Mặc dù không cung cấp sự bảo vệ hoàn hảo, nhưng đối với những người có thể trả được chi phí, cách tiếp cận này thường chứng minh là đủ

1.3.2 Cơ chế phản ứng

Các cơ chế phản ứng cố gắng giảm bớt tác động của một cuộc tấn công đối với nạn nhân Để đạt được mục tiêu này, ta cần phát hiện cuộc tấn công và phản ứng với cuộc tấn công đó Mục đích là để phát hiện mọi nỗ lực tấn công DDoS càng sớm càng tốt và có mức độ dương tính giả thấp Các bước sau đó

có thể được thực hiện để mô tả đặc điểm của các gói tấn công và cung cấp đặc điểm này cho cơ chế phản hồi

Trang 30

Chúng ta phân loại các cơ chế phản ứng dựa trên chiến lược phát hiện tấn công thành các cơ chế triển khai phát hiện mẫu, phát hiện bất thường

Các cơ chế triển khai phát hiện mẫu lưu trữ các dấu hiệu của các cuộc tấn công đã biết trong cơ sở dữ liệu và giám sát mỗi giao tiếp để biết sự hiện diện của các mẫu này Hạn chế rõ ràng là chỉ có thể phát hiện các cuộc tấn công

đã biết, trong khi các cuộc tấn công mới hoặc thậm chí các biến thể nhỏ của các cuộc tấn công cũ lại không được chú ý Mặt khác, các cuộc tấn công đã biết được phát hiện một cách dễ dàng và đáng tin cậy và không gặp phải trường hợp dương tính giả nào Snort cung cấp một ví dụ về hệ thống phòng thủ DDoS sử dụng tính năng phát hiện tấn công theo mẫu Một cách tiếp cận tương tự đã rất hữu ích trong việc kiểm soát vi rút máy tính Giống như trong các chương trình phát hiện vi rút, cơ sở dữ liệu chữ ký phải được cập nhật thường xuyên để giải quyết các cuộc tấn công mới

Các cơ chế triển khai tính năng phát hiện bất thường có mô hình hoạt động bình thường của hệ thống, chẳng hạn như động lực giao thông bình thường hoặc hiệu suất hoạt động dự kiến của hệ thống Trạng thái hiện tại của hệ thống được so sánh định kỳ với các mô hình để phát hiện sự bất thường Ưu điểm của phát hiện bất thường so với phát hiện mẫu là có thể phát hiện ra các cuộc tấn công chưa biết trước đây Lưu ý là các thiết bị phát hiện bất thường phải đánh đổi khả năng phát hiện tất cả các cuộc tấn công để chống lại xu hướng xác định sai hành vi bình thường là một cuộc tấn công

Kết luận chương 1

Trong chương 1 tác giả đã trình bày tổng quan về hình thức tấn công từ chối dịch vụ, phân loại các hình thức tấn công theo các tiêu chí khác nhau Tác giả cũng đã trình bày các phương pháp phòng thủ cơ bản đối với các tấn công

từ chối dịch vụ Trong các kỹ thuật đó, việc nhận dạng các mẫu bất thường là một trong những kỹ thuật cho phép nhận dạng được các luồng tấn công từ chối dịch vụ tại các mạng dịch vụ

Trang 31

Chương 2 BÀI TOÁN DỰ ĐOÁN TẤN CÔNG DDOS

TRONG MẠNG DỊCH VỤ

2.1 Giới thiệu chung

Mạng hướng phần mềm (Software-Defined Networking – SDN) là một

mô hình mới tạo điều kiện thuận lợi cho việc quản lý mạng với cấu trúc động

và có thể lập trình được Trong SDN, các lĩnh vực về điều khiển và quản lý dữ liệu được phân chia độc lập với nhau và việc quản lý mạng tổng thể được thực hiện bởi một bộ điều khiển trung tâm Do đó, bộ điều khiển, có thể quản lý toàn

bộ mạng từ một vị trí duy nhất, điều này cho phép người quản trị có thể nhanh chóng áp dụng các chính sách mạng khác nhau cho toàn mạng Hình 1 biểu diễn cấu trúc phân lớp của môi trường SDN Tuy nhiên, cách tiếp cận mới xuất hiện này đang mang lại những vấn đề về bảo mật bên cạnh những ưu điểm mà

mô hình này mang lại Ngoài các cuộc tấn công gặp phải trong cấu trúc mạng truyền thống, SDN cũng bị phơi nhiễm với các cuộc tấn công dành riêng cho chính nó [3] Có lẽ nguy hiểm nhất trong số các cuộc tấn công này là các cuộc tấn công vào bộ điều khiển, vì kẻ tấn công chiếm bộ điều khiển có thể có khả năng quản lý, điều khiển hoặc làm gián đoạn tất cả lưu lượng mạng Các cuộc tấn công DDoS trong đó người dùng bị từ chối truy cập vào các dịch vụ mạng

là ưu tiên hàng đầu của các cuộc tấn công vào bộ điều khiển

Trang 32

Hình 1: Lược đồ mạng hướng phần mềm (Nguồn: [4])

Những kẻ tấn công vào hệ thống thường nhằm mục đích tạo ra lưu lượng truy cập lớn bất thường với nhiều hơn một máy tấn công, để tiêu thụ tài nguyên trên máy mục tiêu và ngăn cản máy mục tiêu hoạt động sau một thời gian bởi các cuộc tấn công DDoS Những kẻ tấn công sử dụng các mạng tự động (botnet) được tạo ra từ các thiết bị gọi là “thây ma” do tin tặc internet đã tấn công trước

và chiếm đoạt quyền sử dụng Các cuộc tấn công DDoS được thực hiện với số lượng lớn máy, ở nhiều vị trí khác nhau nên rất khó phát hiện và ngăn chặn Tần suất và mức độ nghiêm trọng của các cuộc tấn công DDoS không ngừng gia tăng và có thể gây ra những ảnh hưởng nghiêm trọng đến nhiều dịch vụ mạng [5] Vì lý do này, việc phát hiện và ngăn chặn nhanh chóng các cuộc tấn công DDoS là một trong những vấn đề quan trọng nhất đối với các nhà cung cấp dịch vụ mạng và quản trị viên Các lớp SDN khác nhau có thể bị vô hiệu hóa bằng cách lấp đầy các kênh giao tiếp giữa bộ điều khiển và bộ chuyển mạch hoặc giữa bộ điều khiển và lớp ứng dụng bằng thông tin luồng không cần thiết bởi các cuộc tấn công DDoS Thông thường, khi thiết kế, các nhà phát triển hệ thống không có cơ chế bảo mật tích hợp sẵn trên bộ điều khiển có thể phân biệt

Trang 33

giữa lưu lượng tấn công và lưu lượng bình thường Do đó, rất khó phát hiện ra cuộc tấn công nhắm vào các SDN

Các cuộc tấn công DDoS được nhóm thành ba loại; tấn công lớp ứng dụng, tấn công tiêu tốn tài nguyên và tấn công theo khối lượng Các cuộc tấn công lớp ứng dụng bao gồm các cuộc tấn công phức tạp Kẻ tấn công nhắm mục tiêu đến các dịch vụ cụ thể sử dụng ít băng thông hơn và tiêu tốn chậm tài nguyên mạng hơn, do đó, rất khó phát hiện các kiểu tấn công tay Các cuộc tấn công Giao thức truyền siêu văn bản (HTTP) và Hệ thống tên miền (DNS) có thể được liệt kê trong danh mục này Trong các cuộc tấn công tiêu tốn tài nguyên, các máy chủ bị vô hiệu hóa bằng cách tận dụng các lỗ hổng trong các giao thức được thực hiện trên lớp mạng Sử dụng giao thức TCP-SYN Flood

để tiêu thụ tài nguyên của máy đích (bộ nhớ, CPU và bộ nhớ) Nó nhằm mục đích tiêu thụ băng thông của mạng bằng các cuộc tấn công theo khối lượng Các cuộc tấn công thông thường như ICMP, UDP và TCP-SYN Flood được thực hiện bằng cách sử dụng các lỗ hổng trong giao thức Lớp 3 và Lớp 4 trong

mô hình phân lớp của các dịch vụ

Việc sử dụng các thuật toán trí tuệ nhân tạo, học máy để dự đoán các hành vi tấn công vào mạng trở nên thông dụng và mang lại nhiều kết quả đáng quan tâm Đối với mô hình SDN, trong việc phát hiện các cuộc tấn công DDoS bằng các thuật toán học máy, một số đặc tính liên quan đến luồng (flow) như: kích thước gói, thời gian đến, thời gian phản hồi, tốc độ gói, gói trên mỗi luồng, v.v được sử dụng để xác định xem lưu lượng mạng có bình thường hay không Các cuộc tấn công DDoS thường sử dụng cùng một kích thước gói trung bình

Vì lưu lượng tấn công có tốc độ truyền bit cao, thời gian để đến máy mục tiêu

là rất ngắn Những kẻ tấn công tập trung vào bất kỳ tính năng nào trong số này

để tiêu thụ tài nguyên của máy mục tiêu và ngăn nó phân phát Trong luận văn này, tác giả sử dụng một tập dữ liệu công khai bao gồm tổng cộng 23 tính năng

để phát hiện các cuộc tấn công DDoS bằng học máy Thay vì xem xét tất cả các tính năng trong tập dữ liệu, tác giả sử dụng các tính năng hiệu quả nhất với cách

Trang 34

tiếp cận NCA (Necessary Condition Analysis) với sự trợ giúp của mô hình mới được đề xuất Để đảm bảo kết quả tổng quát hơn, phương pháp đề xuất được thử và thử nghiệm trong bốn thuật toán học máy khác nhau Do đó, các kết quả đầy hứa hẹn thu được chỉ ra rằng cách tiếp cận được đề xuất có thể đạt được kết quả hiệu quả hơn so với học máy truyền thống, thậm chí có thể chỉ sử dụng

ít hơn các thuộc tính

2.2 Các nghiên cứu liên quan

Trong những năm gần đây, nhiều nghiên cứu đã được thực hiện để bảo mật SDN bằng cách sử dụng các kỹ thuật máy học Trong phần này, tác giả sẽ trình bày về một số nghiên cứu về liên quan đến việc chống tấn công DDoS dựa trên các kỹ thuật học máy và học sâu

Các giải pháp bảo mật như Hệ thống ngăn chặn xâm nhập (IPS) và Hệ thống phát hiện xâm nhập (IDS) được sử dụng để đảm bảo an ninh mạng Sự

đa dạng ngày càng tăng của các cuộc tấn công đã khiến cho việc tính toán thống

kê trên các hệ thống này trở nên cần thiết Với các thuật toán học máy, hệ thống IDS đã có được khả năng đưa ra các nhận xét và dự đoán tương đối chính xác

về các tấn công Pérez-Díaz và cộng sự [6] đề xuất một giải pháp kiến trúc mới

để phát hiện các cuộc tấn công DDoS Tỷ lệ thấp (LR-DDoS) và giảm thiểu độ thiệt hại của các cuộc tấn công trong các hệ thống SDN Giải pháp kiến trúc bao gồm các mô-đun IPS và IDS được đặt trên bộ điều khiển Việc phát hiện tấn công được thực hiện bằng cách sử dụng các phương pháp học máy và học sâu được đào tạo khác nhau thông qua Giao diện lập trình ứng dụng nhận dạng (API) được đặt trong mô-đun IDS Các tác giả đã sử dụng tập dữ liệu DoS của Viện An ninh mạng (CIC) Canada trong các nghiên cứu của mình Kết quả thử nghiệm cho thấy, thuật toán Multi-Layer Perceptron (MLP) cho kết quả tốt nhất với độ chính xác 95% trong số sáu thuật toán học máy khác nhau được sử dụng Shoo và cộng sự [7] đã giới thiệu một mô hình tiến hóa mới để phân loại lưu lượng tấn công DDoS trong môi trường SDN Mô hình sử dụng thuật toán SVM kết hợp để phân loại các lưu lượng độc hại với các lưu lượng bình thường Các

Trang 35

thuật toán di truyền (GA) đã được sử dụng để tối ưu hóa SVM khi xác định Phân tích thành phần chính của nhân (KPCA) như một phương pháp lựa chọn thuộc tính để cải thiện hiệu suất phân loại của mô hình Hai bộ dữ liệu khác nhau bao gồm UDP Flood, HTTP Flood, Smurf, SiDDoS và lưu lượng truy cập bình thường đã được sử dụng để kiểm tra và so sánh độ chính xác của mô hình Kết quả thực nghiệm cho thấy độ chính xác của phương pháp kết hợp đề xuất

là 98,9%

Kyaw, Aye Thandar, May Zin Oo và Chit Su Khin [8] đã sử dụng hai thuật toán học máy để phát hiện các cuộc tấn công UDP Flood trong môi trường SDN Các tác giả đã sử dụng công cụ Scapy để tạo gói lưu lượng Hệ thống đã thu thập các dòng tĩnh thông qua bộ chuyển mạch OpenFlow Sau giai đoạn trích xuất đặc trưng, các tác giả so sánh hiệu suất phân loại của các mô hình SVM Tuyến tính và Đa thức Kết quả thử nghiệm cho thấy thuật toán Polynomial SVM có tỷ lệ báo động sai thấp hơn 34% với độ chính xác tốt hơn 3%

Janarthanam, S., N Prakash, và M Shanthakumar [9] đã đề xuất khung bảo mật phát hiện các cuộc tấn công DDoS trên môi trường SDN Khung dựa trên mô hình học tập thích ứng sử dụng tập dữ liệu lịch sử để phân loại lưu lượng Các tác giả đã sử dụng phương pháp xác nhận chéo để có kết quả phân loại hiệu quả Mặc dù kết quả thu được là đầy hứa hẹn, mô hình bảo mật thích ứng nên được thử nghiệm trên các tập dữ liệu khác nhau thu được từ môi trường thực để thực tế hơn Tan, Liang và cộng sự [10] đề xuất một mô hình bảo mật mới cho các cuộc tấn công DDoS trong môi trường SDN Mô hình liên quan đến hai mô-đun dựa trên các thuật toán ML Mô-đun xử lý dữ liệu sử dụng thuật toán K-Means để lựa chọn tính năng tốt nhất và mô-đun phát hiện sử dụng thuật toán k-láng giềng gần nhất (kNN) để phát hiện các luồng tấn công So với bản

đồ tự tổ chức phân tán (SOM) và phương pháp dựa trên entropy, phương pháp của họ có độ chính xác 98,85% với tỷ lệ thu hồi 98,47%

Trang 36

Wang, Lu và Ying Liu [11] đã đề xuất một phương pháp phát hiện tấn công DDoS sử dụng hệ thống phát hiện hai cấp để xác định cuộc tấn công dựa trên entropy thông tin và học sâu Các tác giả đã sử dụng tính năng phát hiện entropy để phát hiện lưu lượng đáng ngờ ở cấp độ đầu tiên và ở cấp độ thứ hai, hsau đó sử dụng mô hình mạng nơ-ron tích hợp (CNN) để phát hiện lưu lượng truy cập tấn công Cuối cùng, các tác giả đã thử nghiệm phương pháp này bằng cách sử dụng mạng nơ ron sâu, cây quyết định (DT) và mô hình SVM Độ chính xác của mô hình CNN cao hơn 4,25–8,20% so với các thuật toán khác

Deepa, V., K Muthamil Sudar và P Deepalakshmi [12] đã đề xuất một

kỹ thuật tổng hợp để phát hiện các cuộc tấn công từ chối dịch vụ (DDoS) Các tác giả đã sử dụng bốn mô hình học máy khác nhau để phát hiện lưu lượng truy cập đáng ngờ trong môi trường SDN Thuật toán SVM-SOM cho kết quả tốt hơn so với các thuật toán ML khác với độ chính xác 98,12% Các tác giả trong [13] đã giới thiệu một hệ thống phát hiện tấn công DDoS cho SDN Hệ thống

sử dụng hai giai đoạn bảo mật Thứ nhất, họ sử dụng Snort để phát hiện các cuộc tấn công dựa trên chữ ký Sau đó, họ sử dụng trình phân loại SVM và mô hình học máy mạng nơ ron sâu (DNN) để phân loại tấn công Kết quả thực nghiệm đã chứng minh DNN có tỷ lệ chính xác phân loại tốt hơn SVM là 92,30%

Các tác giả của [14] đã chứng minh sự thành công của việc áp dụng các

mô hình học sâu trong việc phát hiện và phân loại các cuộc tấn công DDoS trong các nghiên cứu của họ Họ đã áp dụng mô hình DNN trên hai mẫu khác nhau được lấy trong tập dữ liệu CICDDoS2019 Kịch bản phát hiện tấn công được áp dụng trên tập dữ liệu đầu tiên, trong khi kịch bản phân loại lưu lượng tấn công được áp dụng trên tập dữ liệu thứ hai Kết quả của họ cho thấy mô hình DNN hoạt động tốt trong cả phát hiện và phân loại xâm nhập Các tác giả khái quát về kết quả họ thu được trên bộ dữ liệu CICDDoS2019 trong các nghiên cứu của họ Tuy nhiên, các bộ dữ liệu khác nhau có thể cho các kết quả

Ngày đăng: 17/07/2023, 23:51

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] A.T. Kyaw, M. Z. Oo, and C. S. Khin (2020), “Machine-Learning Based DDOS Attack Classifier in Software Defined Network,” in 2020 17thInternational Conference on Electrical Engineering/Electronics, Computer, Telecommunications and Information Technology (ECTI-CON), p.431–434.doi: 10.1109/ECTI-CON49241.2020.9158230 Sách, tạp chí
Tiêu đề: Machine-Learning Based DDOS Attack Classifier in Software Defined Network
Tác giả: A.T. Kyaw, M. Z. Oo, C. S. Khin
Nhà XB: 2020 17th International Conference on Electrical Engineering/Electronics, Computer, Telecommunications and Information Technology (ECTI-CON)
Năm: 2020
[2] A. E. Cil, K. Yildiz, and A. Buldu (2021), “Detection of DDoS attacks with feed forward based deep neural network model,” Expert Systems with Applications, vol Sách, tạp chí
Tiêu đề: Detection of DDoS attacks with feed forward based deep neural network model
Tác giả: A. E. Cil, K. Yildiz, A. Buldu
Nhà XB: Expert Systems with Applications
Năm: 2021
[4] J. C. Correa Chica, J. C. Imbachi, and J. F. Botero Vega (2020), “Security in SDN: A comprehensive survey,” Journal of Network and Computer Applications, vol. 159, p. 102595, doi: 10.1016/J.JNCA.2020.102595 Sách, tạp chí
Tiêu đề: Security in SDN: A comprehensive survey
Tác giả: J. C. Correa Chica, J. C. Imbachi, J. F. Botero Vega
Nhà XB: Journal of Network and Computer Applications
Năm: 2020
[5] K. S. Sahoo et al. (2020), “An Evolutionary SVM Model for DDOS Attack Detection in Software Defined Networks”, IEEE Access, vol. 8, pp. 132502– Sách, tạp chí
Tiêu đề: An Evolutionary SVM Model for DDOS Attack Detection in Software Defined Networks
Tác giả: K. S. Sahoo, et al
Nhà XB: IEEE Access
Năm: 2020
[6] K. B. V., N. D. G., and P. S. Hiremath (2018), “Detection of DDoS Attacks in Software Defined Networks,” in 2018 3rd International Conference on Computational Systems and Information Technology for Sustainable Solutions (CSITSS), p. 265–270. doi: 10.1109/CSITSS.2018.8768551 Sách, tạp chí
Tiêu đề: Detection of DDoS Attacks in Software Defined Networks
Tác giả: K. B. V., N. D. G., P. S. Hiremath
Nhà XB: 2018 3rd International Conference on Computational Systems and Information Technology for Sustainable Solutions (CSITSS)
Năm: 2018
[7] K. Adhikary, S. Bhushan, S. Kumar, and K. Dutta (2020), “Decision Tree and Neural Network Based Hybrid Algorithm for Detecting”, International Journal of Innovative Technology and Exploring Engineering, vol. 9, no. 5 Sách, tạp chí
Tiêu đề: Decision Tree and Neural Network Based Hybrid Algorithm for Detecting
Tác giả: K. Adhikary, S. Bhushan, S. Kumar, K. Dutta
Nhà XB: International Journal of Innovative Technology and Exploring Engineering
Năm: 2020
[8] L. Wang and Y. Liu (2020), “A DDoS Attack Detection Method Based on Information Entropy and Deep Learning in SDN,” in 2020 IEEE 4th Information Technology, Networking, Electronic and Automation Control Conference (ITNEC) vol. 1, pp. 1084–1088. doi: 10.1109/ITNEC48623.2020.9085007 Sách, tạp chí
Tiêu đề: A DDoS Attack Detection Method Based on Information Entropy and Deep Learning in SDN
Tác giả: L. Wang, Y. Liu
Nhà XB: 2020 IEEE 4th Information Technology, Networking, Electronic and Automation Control Conference (ITNEC)
Năm: 2020
[9] L. Tan, Y. Pan, J. Wu, J. Zhou, H. Jiang, and Y. Deng (2020), “A New Framework for DDoS Attack Detection and Defense in SDN Environment,” IEEE Access, vol. 8, pp. 161908–161919, doi: 10.1109/ACCESS.2020.3021435 Sách, tạp chí
Tiêu đề: A New Framework for DDoS Attack Detection and Defense in SDN Environment
Tác giả: L. Tan, Y. Pan, J. Wu, J. Zhou, H. Jiang, Y. Deng
Nhà XB: IEEE Access
Năm: 2020
[10] N. Ravi and S. M. Shalinie (2020), “Learning-Driven Detection and Mitigation of DDoS Attack in IoT via SDN-Cloud Architecture,” IEEE Internet of Things Journal, vol. 7, no. 4, pp. 3559–3570, doi:10.1109/JIOT.2020.2973176 Sách, tạp chí
Tiêu đề: Learning-Driven Detection and Mitigation of DDoS Attack in IoT via SDN-Cloud Architecture
Tác giả: N. Ravi, S. M. Shalinie
Nhà XB: IEEE Internet of Things Journal
Năm: 2020
[11] ệ. Tonkal, H. Polat, E. Baásaran, Z. Cửmert, and R. Kocao˘glu (2021), “Machine Learning Approach Equipped with Neighbourhood Component Analysis for DDoS Attack Detection in Software-Defined Networking”,Electronics (Basel), vol. 10, no. 1227 Sách, tạp chí
Tiêu đề: Machine Learning Approach Equipped with Neighbourhood Component Analysis for DDoS Attack Detection in Software-Defined Networking
Tác giả: ệ. Tonkal, H. Polat, E. Baásaran, Z. Cửmert, R. Kocao˘glu
Nhà XB: Electronics (Basel)
Năm: 2021
[14] S. Janarthanam, N. Prakash, and M. Shanthakumar, “Adaptive Learning Method for DDoS Attacks on Software Defined Network Function Virtualization”, EAI Endorsed Transactions on Cloud Systems, vol. 6, no. 18, p. 166286, 2020, doi: 10.4108/eai.7-9-2020.166286 Sách, tạp chí
Tiêu đề: Adaptive Learning Method for DDoS Attacks on Software Defined Network Function Virtualization
Tác giả: S. Janarthanam, N. Prakash, M. Shanthakumar
Nhà XB: EAI Endorsed Transactions on Cloud Systems
Năm: 2020
[15] T. M. Nam et al.( 2018), “Self-organizing map-based approaches in DDoS flooding detection using SDN,” in 2018 International Conference on Information Networking (ICOIN), p.249–254. doi: 10.1109/ICOIN.2018.8343119 Sách, tạp chí
Tiêu đề: Self-organizing map-based approaches in DDoS flooding detection using SDN
Tác giả: T. M. Nam, et al
Nhà XB: 2018 International Conference on Information Networking (ICOIN)
Năm: 2018

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w